Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Windows XP: Unbekannte Datei verhindert Shut Down ( falgzmbw.exe )

Unbekannte Datei verhindert Shut Down ( falgzmbw.exe )

Seit gestern befindet sich eine Datei auf meinem PC mit dem Titel 'Falgzmbw', welche als exe sich automatisch startet. Sie taucht weder im autostart, bei den diensten, via Windows XP suche, bei Ad-Aware, Spybot oder Hijackthis auf.

Sie hat direkt den Zugriff auf das Internet gefordert, welches ich verweigert habe.

Beim herunterfahren des PCs erscheint das bekannte 'falgzmbw.exe - Programm beenden', welches dann immer erscheint, wenn Programme noch laufen nach dem shut down befehl. Drücke ich 'sofort beenden' schaltet sich der PC ohne probleme aus. Lasse ich es beenden, kommt wenige sek. danach 'Programm konnte nicht beendet werden' und der PC bleibt an.

Da selbst die Google suche nichts findet)0 Treffer!), bin ich hierbei sehr üvberfragt. Auch wenn das Programm gutmütig ist, würde ich gerne wissen, wie ich es aus dem autostart herausbekomme oder zumindest normal beenden kann.

Die wichtigsten Daten meines NOtebooks(!):
Intel Centrino Core Duo(2x2,0)
3 GB Ram
WinXP SP3
Samsung Festplatte
Intel Grafikchip


Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.



Antworten zu Windows XP: Unbekannte Datei verhindert Shut Down ( falgzmbw.exe ):

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

es muss etwas im Autostart vorhanden sein, das diese Datei startet. Kann nätürlich im Autostart einen anderen Namen haben.

Leider nein.
Im msconfig->Sytemstart sind genau 4 sachen drin(Viren,Firewall,OpenOfficestarter und Audiotreber). Bei den Diensten ist auch nichts neues/ungewöhnliches außer den normalen Diensten.

Das Programm ist im Task-Manager auch im Benutzer aufgeführt, und nicht im System.
Es erscheint, seit ich gestern eine Demo von Partition Manager von chip.de gezogen, installiert udn gestartet habe. Aufgrund einer Fehlermeldung des Programmes habe ich die Software direkt wieder deinstalliert. Ich meine, dass seit dem dieses Progamm auftaucht. Ich fände es doch allerdings sehr seltsam, da ich schon hunderte programme von chip.de heruntergeladen ahbe. Auch das selbe Programme ein halbes Jahr zuvor. Denke, dass es damit eher nicht zusammenhängt.

Die datei Kann auch an den Explorerstart angehängt werden.Dies ist über gruppenrichtlienien möglich.
entweder über den gruppenrichlinien editor dies abändern oder mit Autoruns von systernals den start dieser datei unterbinden.
Alternativ Auf sauberem system eine BartPE cd anfertigen und damit dann die datei von der platte löschen.

mfg

Und wie komme ich an diese Autoruns oder an diese CD? Windows ist nicht gerade mein Fachgebiet.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Start/Ausführen und msconfig eingeben.
Reiter: Systemstart

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Worfür erstellst du einen zusätzlichen Thread im Trojaner-Board. Führe bitte die Anweisungen dort aus, da es sich bei der Datei um Malware handeln wird!!

Weil ich nicht wusste, das beide Foren zueinander gehören und ich beide Foren als sehr kompetent angesehen habe ;)

http://www.hijackthis.de/   wäre nicht schlecht .....

..zu Trojaner Board..sage ich dir nur, die reparieren Unnütz! Wo sie nur können und Kritik daran vertragen Sie NuLL! ;D8)

..zu Trojaner Board..sage ich dir nur, die reparieren Unnütz! Wo sie nur können und Kritik daran vertragen Sie NuLL! ;D8)

ok  ;D

@HCK

Das Programm zeigt leider nichts an. Wie schon im Eingangspost beschrieben. Es entfernt lediglich die typischen cookies.

HIER zeigen wäre besser...,mal sehen , wasalles noch gestartet wird .

Ggf mal TuneUp Testphase nutzen , sehr gute Anzeige " was mit System gestartet wird" incl RUN & RUN_ONCE

Du bist nicht allein ....
http://www.google.de/search?q=falgzmbw.exe)&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a

« Letzte Ă„nderung: 05.10.08, 16:20:00 von HCK »

Mit msconfig kann man nur auf die run schlüssel der regestry einfluß nehmen,dies scheint einigen hier entgangen zusein.
Autoruns von systernals ist nach einer sucher mit einer suchmaschiene erhältlich:
http://www.heise.de/software/download/autoruns/15431
einige infos zum pogramm können sicher nicht schaden.

Eine Bart PPe muß man selber machen.sofern eine orginal windows XP xd vorhanden ist.Eine OEM ist ungeeignet.
Man braucht aber ein sauberes system ohne gäste,eventuel mal freunde oder bekannte um hilfe bitten.

Von Tuneup finger weg,die erforderlichen infos bekommt man rückstandsfreier mit Autoruns.
 

@ HCK

Die ganzen Google Links führen nur zu meinen beiden Thema. Bin doch allein ;)

Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:34, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\AMT\atchksrv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\O2Micro Oz128 Driver\o2flash.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\AMT\UNS.exe
C:\WINDOWS\Explorer.EXE
 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [hR4h4kCnAS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\WINDOWS\
O20 - Winlogon Notify: spba - C:\Programme\Gemeinsame Dateien\SPBA\homefus2.dll
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Intel\AMT\UNS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7620 bytes



Seltsam: Er zeigt mir den IE an, obwohl Opera mein Standardproser ist. Seit dem letzte Reboot ist das Ding wieder da.  ICh kann es allerdings nicht herauslöschen bei Hijack


« Vista: Viele Probleme auf einmal (Norman Security Suite Probs?!?)Hijackthislogfile bitte testen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!